聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
微软安全响应中心 (MSRC) 刚刚推出针对 Azure DevOps 服务和 Azure DevOps 服务器最新版本的漏洞奖励计划。
Azure DevOps 是一种云服务,供开发人员和团队使用旨在覆盖全开发生命周期的工具和功能协作编程,以便他们更快捷、更快速地推出更高质的软件产品。
微软指出,从今年1月17日开始,Azure DevOps 漏洞奖励计划将提供500美元至2万美元不等的奖励金,奖励金额取决于所提交漏洞的严重程度和影响、利用技术以及漏洞提交的质量。
微软表示,目前尚未收到任何漏洞提交报告,且其它漏洞奖励计划并未支付任何 Azure DevOps 漏洞奖金。
该漏洞奖励计划涵盖的服务和产品包括 Azure DevOps 服务(此前被称为“Visual Studio Team Services”)最新的 Azure DevOps Server和 Team Foundation Server 公开版本。
这项新的奖励计划促使微软能够发现对 DevOps 消费者安全性产生直接且可验证影响的重大漏洞问题。
如研究人员提交的漏洞报告不在 Azure DevOps 漏洞奖励计划范围内,微软将通过将研究人员的姓名加入“在线服务感谢 (Online Service Acknowledgements)”页面的方式公开感谢他们。
具体来讲,符合条件的漏洞报告应该:
在所述范围内的服务或产品中找到此前未报告的漏洞。
Web 应用程序漏洞必须对支持Azure DevOps 服务和 Azure DevOps Server 和/或插件的浏览器产生影响。
包括清晰、简洁且可复现的步骤,书面或视频格式均可。
向微软工程师提供必要信息以便快速复现、理解并修复问题。这样做促使漏洞提交报告能够尽快处理并将给予更高的漏洞赏金。
漏洞奖励金的具体金额根据所报告漏洞的安全影响而有所不同。如所报告的漏洞报告质量高且可导致远程代码执行问题,则可获得2万美元的奖励,如提交的漏洞报告质量低且和篡改问题相关,则获得500美元的奖励。
微软还详细说明了安全研究人员在寻找漏洞奖励计划所涵盖漏洞的过程中被禁止的行为。所有的微软漏洞奖励都遵循 MSRC 网站上公布的“微软漏洞条款”的规定。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/microsoft/microsoft-launches-azure-devops-bounty-program/